Apparu pour la première fois en 2008, Conficker (aussi appelé Kido, Downup ou Downadup) est un ver informatique qui exploite des vulnérabilités du Windows Server Service, utilisé par Windows 2000, Windows XP, Windows Vista, Windows 7, Windows Server 2003 et Windows Server 2008, dans le but de voler des données comme les mots de passe. Une fois installé sur la machine cible, il désactive des fonctions du système et arrive à empêcher des antivirus d'alerter la présence de mises à jour permettant de le détecter. Il peut également se mettre à jour et s'attacher à des fichiers de processus Windows sensibles comme explorer.exe, svchost.exe ou services.exe.Conficker s'est fortement répandu en 2009, infectant environ 15 millions d'ordinateurs. Ce chiffre a ensuite considérablement diminué, passant de 1,7 million en 2011 à 400 000 en 2015.
Toutefois, le ver reste actif et semble changer de cible. Les ordinateurs tournant actuellement avec des systèmes d’exploitation plus récents, et disposant de mises à jour de sécurité régulières, Conficker s'est tourné vers les appareils utilisant encore les versions obsolètes de Windows. Et ce sont les matériels médicaux connectés qui sont particulièrement ciblés, d'après les chercheurs de l'unité 42 de la société américaine Palo Alto Networks, dans leur rapport sur les menaces qui pèsent sur l'Internet des Objets (IdO).
« 83 % des appareils d'imagerie médicale fonctionnent sur des systèmes d'exploitation non pris en charge, ce qui représente un bond de 56 % par rapport à 2018, en raison de la fin de vie du système d'exploitation Windows 7. Ce déclin général de la posture de sécurité ouvre la porte à de nouvelles attaques, telles que le cryptojacking et ramène des attaques oubliées depuis longtemps, comme Conficker, contre lequel les équipes informatiques étaient auparavant immunisées depuis longtemps », expliquent les auteurs du rapport.
De plus, 51 % des menaces sur les organismes de santé concernent les dispositifs d'imagerie, ce qui peut avoir un impact sur la qualité des soins et permettre aux malfaiteurs d'avoir accès aux données des patients stockés sur ces appareils.
« 72 % des réseaux locaux virtuels de soins de santé combinent l'IdO et les ressources informatiques, ce qui permet aux logiciels malveillants de se propager des ordinateurs des utilisateurs aux dispositifs IdO vulnérables du même réseau. Le taux d'attaques exploitant les vulnérabilités des appareils est de 41 %, les attaques informatiques passant par les appareils connectés au réseau pour tenter d'exploiter les faiblesses connues. On observe une évolution des réseaux de zombies de l'IdO menant des attaques par déni de service vers des attaques plus sophistiquées visant l'identité des patients, les données des entreprises et les profits monétaires via des logiciels de rançon », ajoutent les auteurs.
Pour parvenir à ces constats, les chercheurs se sont entre autres basés sur les alertes envoyées par Zingbox, le produit de sécurité IdO de Palo Alto Networks. La première alerte concernant l'infection par le ver provient d'un hôpital, sur une machine à mammographie.
Quelques jours après, Zingbox a détecté Conficker sur un autre appareil du même type, une visionneuse DICOM (Digital Imaging and Communications in Medicine), un système de radiologie numérique et d'autres machines.
La première réaction du personnel de l'hôpital était d'éteindre les appareils lorsqu'ils n'étaient pas utilisés. Un mammographe infecté et la visionneuse DICOM ont ensuite été mis hors ligne puis réimagés pour supprimer le ver. Mais ils ont été réinfectés quelques heures après leur remise en service, les systèmes d’exploitation ne contenant pas le correctif MS08-067 qui corrige la faille utilisée par Conficker.
Le ver a été définitivement supprimé après que l'hôpital a mis hors ligne, réimagé tous les appareils infectés et installé le correctif.
Par ailleurs, le rapport stipule que près de 20 % des clients de Zingbox healthcare ont été touchés par Conficker.
« C'est un exemple typique des défis auxquels de nombreuses organisations font face aujourd'hui. Elles sont entravées par un manque de visibilité en temps réel du comportement des dispositifs IdO et l'expertise en matière de cybersécurité pour répondre rapidement aux menaces, de contenir la propagation de l'infection et d'éradiquer la cause sous-jacente. Dans certaines organisations, la nature critique de leurs appareils rend le dépannage difficile, l'arrêt, et la réimagerie impossible ou extrêmement difficile à faire sans perturber les opérations commerciales. Par conséquent, de nombreuses organisations se retrouvent dans une boucle sans fin consistant simplement à traiter les symptômes et en espérant le meilleur », conclut le rapport.
Source : Palo Alto Networks
Et vous ?
Comment cette attaque va-t-elle évoluer d'après vous ? Quelles mesures devraient prendre les hôpitaux et les sociétés du domaine de la santé utilisant des objets connectés ?Voir aussi :
Sécurité : Le ver Conficker continue de se répandre Un ransomware se hisse pour la première fois dans le top 3 des logiciels malveillants les plus répandus, sur le baromètre de Check Point Check Point publie le Top 10 des malwares qui ont été le plus actifs en avril 2018, les malwares de cryptominage ont dominé le classement Une faille de sécurité de dispositifs IdO rend un demi-milliard d'appareils en entreprise vulnérables, les imprimantes sont aussi un vecteur d'attaque 
Envoyé par Axel Lecomte
